Mine data
Mine data er et mønster, som beskriver hvorledes sikkerhedsbelagte data kan udstilles. Mønsteret er en del af
Implementeringsmodel for forretningsservice.
Mål
At gøre myndigheders og andres organisationers data vedrørende borgere /
virksomheder tilgængelig for borgeren / virksomheden selv. Data gøres
tilgængelig på en standardiseret måde, med henblik på at de kan tilgås fra et
bredt udsnit af applikationer, enheder og platforme. Med mine data menes data
vedrørende en borger/virksomhed, som er belagt med sikkerhedsforskrifter, men
kan stilles til rådighed for borgeren/virksomheden selv.
Motivation
Borgere og virksomheder har data vedrørende dem selv liggende i myndigheders og
andre organisationers registre. Disse data kan med fordel anvendes af
borgeren/virksomheden selv i andre sammenhænge. Borgeren kan f.eks. ønske at
sammenstille sine økonomiske data fra forskellige steder Skat, kommunen, banken,
elselskab osv. i sit privatøkonomiprogram.
Kontekst
Mønsteret anvendes i forbindelse med at give borgere og virksomheder adgang til
data om dem selv.
Løsning
En mulig løsning vil være at de private data udstilles vha. af en REST baseret
webservice, hvor autenticiteten etableres vha. OCES certifikater og fortrolighed
etableres med en SSL forbindelse mellem borgeren/virksomheden og organisationen
med de ønskede data. Det skal afklares hvorvidt mønsteret kan anvendes i
portalsammenhænge.
Struktur og deltagere
Konsekvenser
Private data om borgere/virksomheder gøres tilgængelig for
borgeren/virksomheden selv på en sikker og fortrolig måde.
Vejledninger og profiler
Publikationen henvender sig til offentlige myndigheder samt private
virksomheder, der ønsker at udstille sikkerhedsbelagte data eller services
baseret på OIOREST. Guiden beskriver sikkerhedsmodeller, der kan anvendes i
forbindelse med OIOREST. Formålet er at opnå fundamentale sikkerhedsmæssige
egenskaber for kommunikationen herunder autenticitet, integritet og
konfidentialitet. Anvendelse af de beskrevne sikkerhedsmodeller gør det muligt
at udbyde eller anvende web services, der eksponerer følsomme data eller udbyder
kritiske ressourcer via internettet.
Sikkerhedsmodellerne tager udgangspunkt to alment forekommende scenarier for
serviceintegration: det første scenarie består af et system-til-system kald via
internettet, og det andet scenarie udvider det første med kald på vegne af en
bruger.
Publikationen indeholder også en juridiske del, der er udarbejdet for at give et
kortfattet overblik over de krav især personoplysningsloven stiller.
Vejledningen vil derfor ikke gå i detaljer med de enkelte forhold, i stedet
gives et overblik, som hjælper godt fra start i forbindelse med brug af OIOREST.
Publikationen er rettet mod udviklere, der skal implementere REST baserede web
services. Både de services, som er rettet mod sikkerhedsbelagte data, men også
dem som er rettet mod offentlige data. Publikationen tager udgangspunkt i to
kørende demoservices: Køservicen og
Danmark servicen. Det er med
udgangspunkt i Køservicen at sikkerhedsaspekterne behandles.
Der er udviklet en kørende demoservice, som eksemplificerer sikkerheden i
OIOREST. Servicen er beskrevet vha. noget generel information, beskrivelse af
web api’et, eksempler på anvendelser af web api’et, eksempler på kode der
anvender api’et i Java, C# og Ruby samt køservicens kildetekst. Til illustration
af de to sikkerhedsmodeller er der endvidere udviklet to klienttyper: En rig
klient samt en web applikation klient. Begge er kort beskrevet nedenfor.
Til illustration af den enkle sikkerhedsmodel er der udviklet en rig klient
applikation, som tilgår Køservicen.
Til illustration af den på vegne af sikkerhedsmodel er der udviklet en web
applikation, som tilgår Køservicen på vegne af en bruger af web applikationen.